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?icliere« StPnBr..n^».„.>.T. ^ j,. ^ .^.^ 

Die vorliegende Erfindung bet.ifft ai„ Verf.hren zu. Konfi™. 
rxeren elnes sicheren Busteilneh^ers bei. AnschUeflen an ei„e„ 
Feldbua i„ ei„.m sicheren Steuerungssysten,, wobei dem sicheren 
Busteilnehmer eine definierte Teilnah»eradre,s. ^ugeordnet 

wird. 

Die Erfindun, betrifft dar^ber hinaus auch ein Steuerungssyste. 
zu„ Sicheren steuern von sicherheitskritischen Prozessen, .it 
zuinxndest einem sicheren Busteilnehmer, der an einen reldbus 
angeschlossen ist, wobei der sichere Bust.ilnehmer erste Mittel 
.un, Aufneh^en und Auswerten eines B.stele,r,™s scwie einen 
spe.cher Speichern einer dem Busteilnehaer zugeordneten 

Teilnehmeradresse aufweist. 
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Ein derartiges Verfahren bzw. ein derartiges Steuerungssystem 
sind aufgrund ihrer Verwendung beim Steuern von sicherheitskri- 
tischen Prozessen bekannt. 

Bei einen, Feldbus handelt es sich um ein Systen. zur Datenkonunu- 
nikation, bei dem die angeschlossenen Busteilnehmer iiber eine 
Sanunelleitung miteinander verbunden sind. Daher konnen zwei an 
den Feldbus angeschlossene Busteilnehmer miteinander kommuni- 
zieren, ohne individuell direkt miteinander verkabelt zu sein 
Beispiele fiir bekannte Feldbusse sind der sogenannte CAN-Bus, 
der sogenannte Profibus und der sogenannte Interbus. 

Im Bereich der Steuer- und Automatisierungstechnik ist die Ver- 
wendung von Feldbussen bereits seit langerem hinreichend be- 
kannt. Dies gilt jedoch nicht fur die Steuerung von sicher- 
heitskritischen Prozessen, bei denen in der Praxis bis in die 
jungste Vergangenheit hinein die an der Steuerung beteiligten 
Einheiten individuell miteinander verkabelt wurden . Grund hier- 
fur ist, da/J die bekannten Feldbusse die zur Steuerung von si- 
cherheitskritischen Prozessen erf orderliche Fehlersicherheit 
(Fehlerwahrscheinlichkeit kleiner als lO'") nicht gewahrleisten 
konnten. Zwar besitzen alle bekannten Feldbusse MaJ3nahmen zur 
Fehlersicherung bei der Dateniibertragung, diese Mai3nahmen sind 
jedoch nicht ausreichend, um die geforderte Fehlersicherheit zu 
gewahrleisten. Hinzu kommt, dai3 Feldbusse offene Systeme sind, 
an die grundsatzlich beliebige Einheiten angeschlossen werden 
konnen. Dabei besteht die Gefahr, daJ3 eine Einheit, die mit ei- 
nem zu steuernden sicherheitskritischen Prozei3 gar nichts zu 
tun hat, diesen ungewollt beeinfluBt. 
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.,, u„t.r e.„en sicherheits.ritische„ Proza« „i.d hier ei„ ProzeB 
vers.a„.e„, von ae„ .ei .u.t«t=n eines reUers ei„e ^..^I Z. 

treten e.nes Fehlers in einen sicheren Zustand Ub.rfu.« „ird 
Dxes U„„ bei einer M,schi„enanU,e beinhalten. dafl die .nUge 
ab,es<=.altet „i... ^.i eine. che:Usche„ Pro.„..io„3proze« .ann 

ruten, so daB i„ einen, solchen Fall der ProzeB 
bessex „ einen un>c.itischen Pa.a„eterbereich ,e^a..en wird. 

Siche.hei.s.ritische P.o.esse .dnnen auch Xeilp.o. ,.a- 

«ere„, uber.eordneten Sesa.tpro.esse„ ,ein. Bei einer HydraL- 
schen p„,3e .a„„ bspw. die «aterialzu,U..un, ein nicht- 
3.= er.eit...i.i..,er Teilp„.eB, das Inbetriebneh^n des P.et 
wer..eu,s da,e,en ein sicHerheits^itisc.er Teilp„.e« se „ 

e l =ic.er.ei.s..i.isc^e ,.eil-,p„.esae s d 

d.e Uberwachun, von Schutz,ittern, Schut.tttren Oder .ic.t- 
.c.ren.e„. die steuerun, von .„ei-Hand-ScHalter„ oder die L - 
wachung und Auswertun, eines Kot-Aus-Schalters . 

Die an der steuerun, eines .icherheits.ritisc.e„ Processes be- 
U.,te„ Einheiten «s.en Uber i.re ei,e„.lieHe PunUion Hi . 
,e.ende sic.erheits.e.o,e„e .i„ri.Ht„„,en a..„eise„. „„ on 
air .ufsich.s.e.arde„ .Ur siCerHeits^ritisoHe Au.- 

gaben ..,ela=sen zu warden, .iese Ei„richtu„,e„ dienen vor al- 
ia, der Pehler und Pun.tionsUberwac.un,. x„ der He,el si„d die 

pt TT^'" " =^c.ere 

Fun.t.on auch be. Auftreten eines Pehlers gew.hrleisten 

Einheiten mit d^^T-^r-h-i • i. -^cxt^ten. 

derartxgen s.cherheitsbe^ogenen Einrichtungen 
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werden nachfolgend im Unterschied zu "normalen" Einheiten als 
sicher bezeichnet. 



Die an den Feldbus angeschlossenen Einheiten werden nachfolgend 
allgemein als Busteilnehiner bezeichnet. Bei einem Steuerungssy- 
stem zum sicheren Steuern von sicherheitskritischen Prozessen 
handelt es sich bei den Busteilnehmern iiblicherweise entweder 
urn Steuerungseinheiten oder um Signaleinheiten. Als Steuerungs- 
einheit wird dabei ein Busteilnehmer bezeichnet, der eine ge- 
wisse Intelligenz zur Steuerung eines Prozesses besitzt. In der 
Fachterminologie werden derartige Busteilnehmer iiblicherweise 
als Clients bezeichnet. Sie erhalten Daten und/oder Signale, 
die ZustandsgroJ3en der gesteuerten Prozesse reprasentieren, und 
aktivieren in Abhangigkeit von diesen Inf ormationen Aktoren, 
die den zu steuernden Prozefl beeinf lussen. Oblicherweise ist 
die intelligenz in Form eines verSnderbaren Anwenderprogranmis 
in einem Speicher der Steuerungseinheiten abgelegt. In der Re- 
gel werden als Steuerungseinheiten sogenannte SPS (Speicher 
Programmierbare Steuerungen) verwendet. 

Eine Signaleinheit ist demgegenuber ein Busteilnehmer, der im 
wesent lichen Ein- und Ausgangskanale (E/A-Kanale) bereitstellt , 
an die einerseits Sensoren zur Aufnahme von Prozei3gr613en und 
andererseits Aktoren angeschlossen werden konnen. Die Si- 
gnaleinheiten besitzen in der Regel keine Intelligenz in Form 
eines veranderbaren Anwenderprogramms . Sie werden in der Fach- 
terminologie iiblicherweise als Server bezeichnet. 

Bei vielen Feldbussen, wie etwa dem CAN-Bus, ist es bekannt, 
den einzelnen Busteilnehmern eine individuelle Teilnehmeradres- 
se zuzuordnen. Die Teilnehmeradresse dient dazu, Bustelegramme 



BNSDOCID; <WO_0l153e5A2J.> 



wo 01/15385 



PCT/EPOO/08062 



5 



mit 2u ubertragenden Nachrichten gezielt von dem sendenden Bus- 
teilnehmer zu dem empfangenden Busteilnehmer zu ubermitteln. 
Beim Aufbau eines Steuerungs systems zum Steuern von sicher- 
heitskritischen Prozessen stellt die Vergabe der Teilnehmer- 
adressen an die Busteilnehmer eine sicherheitskritische MaBnah- 
me dar. Wenn namlich bspw. zwei verschiedene Signaleinheiten 
die Zustandsdaten von zwei verschiedenen S^hutzgittern aufneh- 
men und an die Steuerungseinheit weitergeben, kann eine falsche 
AdreBzuordnung der beiden Signaleinheiten dazu fuhren, daB die 
Steuerungseinheit die Bewegung einer abzusichernden Maschine 
nicht abschaltet, obwohl das entsprechende Schutzgitter geoff- 
net wurde. 

Bei den bisher bekannten, gattungsgemaBen Steuerungssystemen 
bzw. den entsprechenden Verfahren zum Konf igurieren der siche- 
ren Busteilnehmer werden die Teilnehmeradressen direkt am Bus> 
teilnehmer eingestellt. Hierzu weist jeder Busteilnehmer entwe- 
der einen mechanischen Codierschalter , insbesondere einen Dreh- 
schalter, oder eine serielle Programmierschnittstelle auf. Ein 
Nachteil dieser Losung ist, daB das Einstellen der Teilnehmer- 
adressen hier direkt am Ort des einzelnen Busteilnehmers erfol- 
gen muB. Bei komplexen ProzeBsteuerungen im industriellen Be- 
reich konnen die einzelnen an den Feldbus angeschlossenen 
Busteilnehmer jedoch bis zu mehreren hundert Metern auseinan- 
derliegen. Beim Aufbau eines sicheren Steuerungssystems sind in 
diesem Fall daher groBe Laufwege erforderlich, die das Einrich- 
ten und Konf igurieren umstandlich machen. 

Hinzu kommt, daB es aufgrund der groflen Laufwege in diesem Fall 
leicht moglich ist, den Uberblick zu verlieren, was zu fehler- 
haften AdreBzuordnungen fuhren kann. Ein weiterer wesentlicher 
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Nachteil der bekannten Losungen ist, dai3 bei. Austausch eines 

defekten Busteilnehmers dessen Teilnehmeradresse bekannt sein 

mui3, damit diese anschliei3end dem Austausch-Busteilnehmer zuge- 

ordnet warden kann. Bei industriellen Anlagen, die hMufig rund 

um die Uhr betrieben warden, bedeutet dies h^r • 

, ucutet axes, daJj immer entspre- 
chend fachkundiges Personal verfugbar sein ^ 

tausch eines defekten Busteilnehmers vorzunehmen. in dem Fall 
daiS dem Busteilnehmer die Teilnelmeradresse mit Hilfe eines 
Frogra^niergerstes Ubar die serielle Schnittstelle zugeordnet 
"xrd, ist auch stets das entsprechende Pro,ra„iergerat erfor- 
derlich- 



Bex der Zuordnung einer Teilnehmeradresse iiber eine Prograa- 
mierschnittstelle besteht darUber hinaus der Nachteil, daB die 
dem Busteil„eh,«r zugeordnete Teilnehmeradress. von auBen nicht 
z. erkennen ist. Hierdurch besteht die Gefahr, dafl ,i„ Busteil- 
nehmer, der trtter einmal mit einer anderen Teilnehmeradress, 
verv,e„det wurde, bei seiner Verwendung in einer neuen Umgebung 
versehentlich mit seiner alten Teilnehmeradresse betrieben 
wird. Dieses Risiko ist besonders groB, „enn ein schon einmal 
ver»e„deter Busteilnehmer im Rahn«n einer Wartun, i„ ein ande- 
res Steuerungssystem intagriert werden soil. 

Es ist daher Aufgabe der vorliegenden Erfindung, ein Verfahren 
der eingangs genannten Art anzugeben, mit dem einem sicheren 
Bustexlnehmer von einer zentralen stelle aus .uf einfache und 
gleiohzeitig fehlersichere Art und Weise eine Teilnehmeradresse 
zugeordnet werden kann. Es ist daruber hinaus Aufgabe der Er- 
findung, ein entsprechendes Steuerungssystem anzugeben 
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^ Diese Aufgabe wird durch ein Verfahren der eingangs genannten 
Art gelost, das folgende Schritte aufweist: 

- Versenden eines ersten Anineldetelegra„m,s von dem sicheren 
Busteilnehmer zu einer an den Feldbus angeschlossenen Ver- 
waltungseinheit, wobei das erste Anmeldetelegrarmn eine 
festgelegte Universaladresse beinhaltet, 

Versenden eines AdreBvergabetelegranuns von der Verwal- 
tungseinheit an den sicheren Busteilnehmer, wobei das 
AdreBvergabetelegramm die definierte Teilnehmeradresse be- 
inhaltet und 

- Abspeichern der definierten Teilnehmeradresse in einem 
Speicher des sicheren Busteilnehmers. 

Die Aufgabe wird des weiteren durch ein Steuerungssystem der 
eingangs genannten Art gelost, bei dem der Busteilnehmer zweite 
Mxttel aufweist, um sich unter einer festgelegten Universal- 
adresse bei einer an den Feldbus angeschlossenen Verwaltungs- 
exnheit anzumelden, sowie dritte Mittel, um ein AdreBvergabete- 
legramm mit der Teilnehmeradresse aufzunehmen und auszuwerten. 

Mit dem genannten Verfahren ist es moglich, den zu konfigurie- 
renden Busteilnehmer zunachst ohne Zuordnung der individuellen 
Teilnehmeradresse an den Feldbus anzuschlieBen. Aufgrund der 
festgelegten Universaladresse kann sich dieser Busteilnehmer 
anschlieiiend bei der genannten Verwaltungseinheit anmelden. Die 
verwaltungseinheit ist bevorzugt eine zentrale Verwaltungsein- 
heit fur das gesamte Steuerungssystem. Im nachsten Schritt wird 
dem zu konfigurierenden Busteilnehmer von der Verwaltungsein- 



BNSDOCID: <WO_0115385A2J_> 



wo 01/15385 

PCT/EPOO/08062 



heit die individuelle Teilnehmeradresse iibermittelt . Dies ge- 
schieht mit Hilfe eines speziellen Adre/Jvergabetelegramms, das 
die Verwaltungseinheit an den zu konf igurierenden Busteilnlhmer 
versendet. Der angesprochene Busteilnehmer wertet das empfange- 
ne Adreflvergabetelegramm aus, indem er die iibermittelte Teil- 
nehmeradresse extrahiert und anschlieflend in einem Speicher ab- 
speichert. Bevorzugt speichert er die Teilnehmeradresse dabei 
in einem nicht-f luchtigen Speicher, wie bspw. einem EEPROM. 

Mit Hilfe dieses Verfahrens ist es m5glich, dem sicheren Bus- 
teilnehmer von einer zentralen Stelle aus, nSmlich der Verwal- 
tungseinheit, die definierte Teilnehmeradresse zuzuordnen. Bei 
einem raumlich ausgedehnten Steuerungssystem entfallen daher 
die bisher erf orderlichen, langen Laufwege. DarUber hinaus wird 
durch die Moglichkeit, samtliche Busteilnehmer von einer zen- 
tralen stelle aus zu konf igurieren, der Uberblick erleichtert 
und so das Fehlerrisiko einer versehentlich falschen AdreBver- 
gabe verringert. Da zudem sowohl der sichere Busteilnehmer als 
auch die verwaltungseinheit sicherheitsbezogene Einrichtungen 
aufweisen, kann die tibertragung der definierten Teilnehmer- 
adresse trotz der an sich bestehenden Fehlermoglichkeiten des 
Bussystems auf fehlersichere Weise erfolgen. 

Die genannte Aufgabe ist daher vollstandig gelost. 

in einer Ausgestaltung des Verfahrens versendet der sichere 
Busteilnehmer nach Empfang des Adrelivergabetelegramms ein zwei- 
tes Anmeldetelegramm an die Verwaltungseinheit, wobei das zwei- 
te Anmeldetelegramm die definierte Teilnehmeradresse beinhal- 
tet. 
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D.ese Mai3nah.e besitzt den Vorteil, daJ3 die Verwaltungseinheit 
uberprufen kann, ob der sichere Busteilnehmer die zugeordnete 
Texlnehmeradresse nicht nur fehlerfrei empfangen, sondern auch 
fehlerfrei verarbeitet hat. Hierdurch wird die Sicherheit der 
AdreBzuordnung nochmals erhoht. Anschaulich gesprochen bedeutet 
die genannte MaBnahme, daJ3 sich der sichere Busteilnehmer nach 
Erhalt der ihm zugeordneten Teilnehmeradresse ein zweites Mai 
bea der Verwaltungseinheit anmeldet. Die Mai3nahme besitzt dar- 
uber hinaus den weiteren Vorteil, daJ3 aus Sicht der Verwal- 
tungseinheit die Universaladresse eindeutig wieder freigegeben 
xst. Somit steht sie einem anderen Busteilnehmer zur Benutzung 
zur verfiigung, ohne daJ3 es zu Mehrdeutigkeiten hinsichtlich des 
betroffenen Busteilnehmer s koimnen kann. 

in einer weiteren Ausgestaltung der Erfindung versendet der si- 
chere Busteilnehmer das erste Anmeldetelegramm erst nach Emp- 
fang eines definierten Wartungstelegraimns an die Verwaltungs- 
einheit. 

Diese Mal3nahme besitzt den Vorteil, dai3 die Verwaltungseinheit 
stets die Kontrolle uber das Geschehen am Feldbus behalt. Es 
.St hiernach ausgeschlossen, daB sich ein neuer, zu konfigurie- 
render Busteilnehmer von sich aus in das Geschehen am Feldbus 
exnmxscht, ohne hierzu von der Verwaltungseinheit eine Freigabe 
erhalten zu haben. Auch hierdurch wird die Sicherheit des 
Steuerungssystems verbessert, da eine zentrale Kontrolle ge- 
wahrleistet ist. 

in einer bevorzugten Ausgestaltung dieser Mal3nahme versendet 
der sichere Busteilnehmer das erste Anmeldetelegramm nur nach 
dem erstmaligen Empfang des definierten Wartungstelegramms an 
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die Verwaltungseinheit, wahrend er bei einem wiederholten Emp- 
fang des definierten Wartungstelegramms das zweite Anmeldetele- 
granrni versendet. 

Diese MaBnahme besitzt den Vorteil, daJ3 das Wartungstelegranun 
als sogenanntes Broadcast-Telegranun jeweils gleichzeitig an al- 
le an den Feldbus angeschlossenen Busteilnehmer gemeinsam ver- 
sendet werden kann. Hierdurch vereinfacht sich das erfindungs- 
gemaUe Verfahren, da die Anmeldung des neuen, zu konfigurieren- 
den Busteilnehmers nicht von bereits angemeldeten und konfigu- 
rierten Busteilnehmern gestort oder verzogert wird. Es ist 
hierdurch auch moglich, das erf indungsgemaJie Verfahren mit we- 
sentlich weniger Verf ahrensschritten durchzuf iihren. Der erstma- 
lige Empfang kann sich je nach der konkreten Realisierung des 
erfindungsgemafien Verfahrens auf den erstmaligen Empfang nach 
jedem Einschalten des Steuerungs systems beziehen. Bevorzugt be- 
zieht er sich jedoch auf den erstmaligen Empfang nach dem An- 
schluB des Busteilnehmers an den Feldbus. 

In einer weiteren Ausgestaltung der zuvor genannten MaJ3nahmen 
wird das definierte Wartungstelegramm nur nach Aktivieren eines 
besonderen Wartungsmodus der Verwaltungseinheit versendet. 

Die Aktivierung des besonderen Wartungsmodus erfolgt bevorzugt 
durch die Betatigung eines Schlusselschalters oder eines Code- 
schlosses, das mit der Verwaltungseinheit verbunden ist. Der 
besondere Wartungsmodus der Verwaltungseinheit unterscheidet 
sich von alien anderen Betriebsmodi der Verwaltungseinheit dar- 
in, daB nur in diesem Wartungsmodus das definierte Wartungste- 
legramm versendet wird. Die Mafinahme besitzt den Vorteil, daJ3 
die Zuordnung von Teilnehmeradressen nur nach einem bewufiten 
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EingrUf in das sichere steuerungssyste,. „. , 

wird ei„e ve.sehentliche Vergabe von Teilneh «--<'"-l> 
^ert. xn.oige des.en i.. das RisH 
vcn .eun._d.33en ..^urL^^^^^^^^^^ 

in einer weiteren Ausgeataltung der zuvor . 

beendet die Ve^ai.ungsein.eit den ^ZZIJIZT' """""^ 

~ K^..ng des .„ei.en .^eide^eg^r """^^ 

Auch diese MaBnahne trSgt erheblich dazu b.i das Ri •> • 
.ehie.ba.t.„ Ad.eB.uo.dnung .ini^ie.en. da de/ ^ 

Wartu„gs„od„s in diese. Fall nur fa. J.leUs 
AdreB.„ordnn„g a.tiviert ve.den .ann Es Lt h """"" 
jeae 3uordn„„g einer T.ilnetae.adresse 
.in.l« in das siCe. S.^^ngssys:: nrj^^ 

-.a. s... „i.d bi«d„. „.n.is be..:- :::::: 

In einer weiteren Ausgastaltung der zuvor a.r. 

"ird der Verwaltungseinbeit .u Beginn de b^ 7"" 

-us die dennierte .eilneb^radrLe Z^ZT 

Alternativ zu dieser Maflnat™e ist es „Kiglich daO d' v 
tungseinbei. die de.inierte .eilneb^eradresse' bs:;d-r" 
e.nem Speieher ausUest und somit den ei„„, 

der Heibe nacb Xeilneb„.radressen an eler Z/""""""^^" 

~. Oie ge„an„:: L : Z.^r- 

gegenuber den Vorteil dan fiiv ^ "esitzt deiti- 

l^n Teilneb^radress erneu ''''' individnel- 

erforderlich ist der d " 

-t. der d.e Kcnfiguration der Busteilneh^r 
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durchfuhren mochte. Auch hierdurch wird die Sicherheit der 
AdreJ32uordnung betrachtlich erhoht. 

in einer weiteren Ausgest.ltunc, der zuvor c,e„an„ten HeBnahme 
erzeugt die Verv.ltu„9=ei„h,it ein Fehler.ig„,i, „e„„ die tiber- 
mittelte Teil„eh™,radresse bereits an ei^v^" =n den Feldbus a„- 
geschlossanen Busteilnehmer vergeben ist. 

Auch diese MaBnahme tragt zur Vermeidung einer fehlerhaften 
Adre/3zuordnung bei, da hierdurch die mehrfache Zuordnung einer 
Texlnehmeradresse an verschiedene Busteilnehmer zuverlassia 
verhindert ist. 



in exner weiteren Ausgestaltung der Erfindung versendet die 
Verwaltungseinheit Wartungstelegraimae in definierten Zeitab- 
standen an alle an den Feldbus angeschlossenen Busteilnehmer. 

Diese MaBnahme steht im Gegensatz dazu, daB ein Wartungstele- 
gra^un jeweils nur nach einer individuellen Aktivierung eines 
besondaren Wartungsmodus versendet warden kann. Die genannte 
MaBnahme besitzt demgegeniiber den Vorteil, daI3 der AnschluB ei- 
nes neuen Busteilnehmers in, laufenden Betrieb des Steuerungssy- 
stems auf sehr einfache und komfortable Weise moglich ist Die 
Texlnehmeradresse kann hierbei entweder von der Verwaltungsein- 
hext automatisch aus einer Liste von moglichen Teilnehmeradres- 
sen ausgewahlt werden oder sie kann der Verwaltungseinheit vor 
dem AnschlieBen des neuen Busteilnehmers ubermittelt werden. 

Eine weitere Ausgestaltung des erf indungsgemaBen Verfahrens ist 
durch die folgenden Schritte gekennzeichnet : 
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iiberprufen der Anwesenheit aller aktiv 

Busteilnehmer und """"telegr^Bnen der 

Versenden der Teilnehmeradresse eines .1, ■ . 

— B..eu„e..r. .3 

Diese Ausgestaltung der Erfindung ist besonH 

sicheren Steuerungssysten.. „it der beH.„„te„ „ r 

n.™.ic. e.„.c.e „e.e „.,Uc.. e^ : .^^^^^ " 

durch einen neuen BusteiX„eh.er auszutausch!' ^ 
neuen Busteilneh^r hierbei r^^at eine TeuLt H " 
ordne. „erde„ ... ... ^.^........J^T ^TTZ'' T' 

,estau.„, de. Ver.a.ren. „.„..e. laufend, o. aXe 1: ! 
gemeldeten Busteilnehmer alctiv a« Feldb„^ 

e. e..e..r S.s.enne..r I dre ~arr 

fekt Oder darauf -a « ^ 

'-'uci aaraur hin, daJ3 dies*»r .--i 

^e.d.. a...re„„. ^rde. ^^^.ZLT^Ts^TT 
tion .a„„ die Ver„altu„,sei„heit die TeiXnel 
-.e„de„ Bu«eii„e..era -n.i.i.ierer 

Ver«auu„,eei„.ei. da„„ ei„ „euer B.stei.ne.Jr , "^eT 

gelegten Oniversaladresse anmeldet wirH 

-.esse des .ebienden Bu^eiirCr. ^rjr T""""^- 
weise ist der Austausc. eines defe.ten u ! ''"^ 

o^.e daB de. B„3teii„e..r die aite ^i:!! rLe" 

Hand zu,eordnet werden muB. Bescnders bevorzu« „ird h 
gestaltnn, der Br.indun, d,.it .o^iniert da/das . 
Wartungstelegra™ „ur nach Aktivier.„ ■ 

~s der ver„ait_i„;er:::ser :rrdi:::: 
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Kombination ist namlich einerseits eine sehr groJ3e Sicherheit 
bezuglich der Zuordnung einer Teilnehmeradresse gegeben, wSh- 
rend andererseits ein defekter Busteilnehmer sehr einfach und 
ohne Pachkenntnisse ausgetauscht werden kann. Dies ist beson- 
ders vorteilhaft im Hinblick auf Produktionsanlagen, die rund 
um die Uhr betrieben werden. 

In einer weiteren Ausgestaltung der Erfindung erzeugt die Ver- 
waltungseinheit ein Fehlersignal, wenn mehr als ein Busteilneh- 
mer das erste Anmeldetelegranim versendet. 

Auch diese Mafinahme besitzt den Vorteil, daJ3 die Sicherheit er- 
hoht wird, da in diesem Fall die gleichzeitige Zuordnung einer 
Teilnehmeradresse an mehrere Busteilnehmer verhindert ist. 

in einer weiteren Ausgestaltung der Erfindung werden zumindest 
das erste Anmeldetelegramm sowie das Adrel3vergabetelegramm mit 
jeweils einem Quittungstelegramm beantwortet. 

Diese MaJ3nahme zielt darauf ab, daB der Empfanger der genannten 
Telegramme unabhangig von deren eigentlicher Verarbeitung ein 
Quittungstelegranmi an den Absender zuriickschickt . Hierdurch 
wird ebenfalls die Sicherheit der Adreflzuordnung betrachtlich 
erhoht, da der Absender auf diese Weise uberpriifen kann, ob der 
Empfanger das jeweilige Telegraram fehlerfrei erhalten hat. 

Es versteht sich, dal3 die vorstehend genannten und die nach- 
stehend noch zu erlauternden Merkmale nicht nur in der jeweils 
angegebenen Kombination, sondern auch in anderen Kombinationen 
Oder in Alleinstellung verwendbar sind, ohne den Rahmen der 
vorliegenden Erfindung zu verlassen. 
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Ausfuhrungsbeispiele der Erfindung sind in der Zeichnung 
dargestellt and werden in der nachf olgenden Beschreibung naher 
erlautert. Es zeigen: 



Fig. 



eine schematische Darstellung eines Steuerungssy- 
stems zum sicheren Steuern von sicherheitskritischen 
Prozessen^ (' 

Fig. 2 den Konmtunikationsablauf zwischen einer Verwaltungs- 
einheit und zwei Busteilnehmern bei einem ersten 
Ausfuhrungsbeispiel der Erfindung und 

Fig. 3 den Kommunikationsablauf zwischen der Verwaltungs- 
einheit und den beiden Busteilnehmern bei weiteren 
Ausfiihrungsbeispielen der Erfindung. 

in Fig. 1 ist ein Steuerungs system zum sicheren Steuern von si- 
cherheitskritischen Prozessen in seiner Gesamtheit mit der Be- 
zugsziffer 10 bezeichnet. 

Das Steuerungssystem 10 besitzt zwei sichere Steuerungseinhei- 
ten 12 und 14, die uber einen Feldbus 16 mit insgesamt vier si- 
cheren Signaleinheiten 18, 20, 22 und 24 verbunden sind Die 
Steuerungseinheiten 12, 14 und die Signaleinheiten 18 bis 24 
sind Busteilnehmer im Sinne der vorliegenden Erfindung. 

Jede der sicheren Signaleinheiten 18 bis 24 weist mehrere E/A- 
Kanale auf, iiber die sie mit jeweils einem sicherheitskriti- 
schen Prozei3 28, 30, 32 verbunden ist. Im vorliegenden Fall 
sxnd dxe sicheren Signaleinheiten 18 und 20 mit dem ProzeJJ 28 
verbunden, wahrend die Signaleinheit 22 mit dem Proze/3 30 und 
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dxe s.,„aleinh.it 24 .it d.. P.ozeB 32 verbunden i.t. Bei de» 
s^cherhextskritischen ProzeB 28 handelt e, sich bspw. un, die 
Zwei-„and-Steue.u„, einer Maschi„e„a„l.,e, bei der aufle.den, 
.uch die D.eh.a„ einer hier nicht dargestellten Maschi„e„„eUe 

d.e Uberwachun, eines »ot-Au3-Schalte« und der sicherheits^ri- 
tisce Pro.e« 32 die Oberwac.un, eines Schut,,itters ,bier 
ebenfalls nicht dargestellt ) . 

Die Si,naleinheite„ 18 bis 24 lesen Uber ihre E/A-Kanale 26 Si- 
Snaie und/oder Datenwerte der sicherheits.ritischen Prc.es.e 28 
bis ein. Derarti,e Signale bz„. Datenwerte aind bsp„. die 
a.tuene Oreh.ahI der „ascbi„en„ene und die Sc.altersteUun, 

TZTTT"- — Si,„aUin..ite 

IS b,a 24 Uber die E/A-Ka„Sle 26 auf War nicht dargestellte 

28 bi? TT^"' =i<='>-HeitsHritische„ Pro.esse 

28 bis 32 bee.n«uBt warden. So geh6rt bsp„. de„ sicher- 
h.ita.ritischan Pro.e« 30. bei de. die SchaltereteUun, des 
»ot-Au3-Schalters aberwacht „ird, ein A.tor, ^t da. die Strc- 
versor,un, der ,estauerte„ and Uberwachten Maschinenaniaga ab- 
geschaltet werden kann. 

Die sicharen Steuerungseinheiten 12 und 14 si„d s-s 

HZTT' '^-'^"^ '^^^^^ 

=ufgebaut und unterscheiden sich i. wesentlichen durch ver- 
schxadanan Anwendungsprogra^e, die auf ihnen ausgefuhrt „er- 
den . 

Bei der nachfolganden Eriauterung der Steuerungseinheiten 12. 
14 bz„. der Signalainheitan 18 bis 24 sind die Jawails genann- 
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ten Bezu,s«i=He„ i„ Pi,. , OrU„.e„ dex Ubersichtlich.eit 

nur einfach aufgefuhrt. 

Die Steueru„,sei„heite„ 12, 14 beinhalten Jewells einen siche- 
ren Verarbeitungsteil 34, der in Fi,. i 

pun^tierten Linie 36 dargestellt ist. „nterhalb der Linie 36 
befxndet sich ein „icht-si=h.r.r Teil 38, der i. wesentlichen 
e.„en als BuscontroUer bezeichneten Bauetein 40 enth.lt. De. 
Buscontroller 40 ist el„ Standard-Baustein, in den, das stan- 
dard-Proto.oll des v.rwendeten Feldbusses 16 i^len^entiert ist 
Der Buscontroller 40 ist in der .age. das Ver.enden „„d B^p^an^ 
,en von »a=hri=hten in Per. von Tele,ra™e„ ei,e„st.ndi, abzu- 
Wickeln. Die zu ver.end.nden Nachrlchten erhalt der Buscontrol- 
ler 40 von de. sicheren Verarbeitungsteil 34. „„geHehrt stellt 
der Buscontroller 40 en^pfangene Kachricbten de. sicheren Verar- 
beitungsteil 34 zur VerfUgung. 

Entsprechend einer bevorzugten AusfUhrung der Erfindun, handelt 
es =ich bei de„ Peldbus 16 hier ™ einen c«,-bus. Bei dieses 
BUS warden die zu versendenden Nachrichten innerhalb eines 
utzdaten.eldes Ubertragen, das «r seinen «eg .bar den .eldbus 
mxt z„s.tzlichen Steuerungsinfor-nationen erganzt „ird. Bas 
gesa.te Pa.et a„s Steuerungsin.or^ationen „„a Hutzdaten.eld 
bUdet das Bustelegra^a. Der Buscontroller 40 ist in der Lage, 
Hachrichten, die er von de. sicheren Verarbeitungsteil 34 er- 
halt, selbstsndig in der dem Protocol! entsprechenden For. in 
die zu versendenden Bustelegra,^ einzubetten. u.ge.ehrt .ann 
er ber einem empfangenen Bustelegraanne die i„ Nutzdatenfeld 
enthaltenen Hachriehten extrahieren. 
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Der sichere Verarbeitungsteil 34 jeder Steuerungseinheit 12 14 
xst zweikanalig-redundant aufgebaut. Jeder der beiden Kanale 
enthalt im wesentlichen einen Prozessor 42a, 42b mit jeweils 
zugehoriger Peripherie, nat dem ein Anwendungsprogrannn 44a, 44b 
ausgefiihrt wird. In dem Anwendungsprogranun 44a, 44b ist die 
Steuerung der Maschinenanlage und damit die Intelligenz der 
Steuerungseinheiten 12, 14 niedergelegt . 

Die beiden Prozessoren 42a, 42b fiihren sicherheitsrelevante 
Aufgaben redundant zueinander aus. Dabei kontrollieren sie sich 
gegenseitig, was in Fig. l durch einen Pfeil 46 dargestellt 
xst. Die sicherheitsrelevanten Aufgaben beinhalten bspw. Mafi- 
nahnien zur Fehlersicherung von ubertragenen bzw. versendeten 
Nachrichten. Diese MaBnahmen erfolgen zusatzlich und in Ergan- 
zung zu Fehlersicherungsn,ai3nahinen , die bereits standardmaMg 
von dem Buscontroller 40 durchgefuhrt warden. Hierdurch ist es 
moglich, die Fehlerwahrscheinlichkeit gegenuber dem an sich 
nicht-sicheren Feldbus 16 betrachtlich zu erhohen. 

Die Signaleinheiten 18 bis 24 sind iiber den gleichen Buscon- 
troller 40 an den Feldbus 16 angeschlossen wie die sicheren 
Steuerungseinheiten 12, 14. Dementsprechend ist der Teil 48 
oberhalb der Linie 50 in Fig. i wiederum nicht-sicher im Sinne 
der vorliegenden Erfindung. m dem sicheren Verarbeitungsteil 
unterhalb der Linie 50 ist jede Signaleinheit 18 bis 24 wieder- 
um zweikanalig-redundant aufgebaut. Die beiden redundanten Ver- 
arbeitungskanaie sind wiederum in der Lage, eine gegenseitige 
Fehleriiberwachung durchzuf uhren . 

Jeder der Verarbeitungskanale der Signaleinheiten 18 bis 24 be- 
sitzt einen Prozessor 54a, 54b sowie ein Schaltmittel 56a, 56b. 
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«it d.„ Be.„,s.i«„n 58a, 58b ist Jewells ein Speicher be- 
.exchnet, in de. einerseits eine festgele^te Univers.ladresse 
ab,ele,t ..t u„d i„ de. die Proze.soren 54a, 54b andererseits 
ei„e .ugeordnete Teil„eh«eradresse abspeichern ,c6„„e„. I„ ver- 
Mndung .it de,n Buscontroller 40 i=t jede Signaleinheit 18 bis 
daher in der La,e, sicb unter der fest,ele,te„ Universal- 
adresse bei einer a„ de™ FeXdbus angeschlossenen Verwaltungs- 
e.„heit anzu^lden b,„. u.,e.ehrt ein AdreBver,abetele,ra,™ „it 
einer zugeordneten Teilneh^radresse au£zuneh,„en und auszuwer- 
ten. Dieselbe rahijHeit besitzen .„=h die sicheren Steuerungs- 
einheiten 12, 14, wenn,leich dies in Fig. l „ic.t explizit dar- 
gestellt ist. 



D.e Schalfnittel 56a, 56b versetzen die Signaleinheiten 18 bi, 
2 in die Lege, die bier „i=ht dargestellten AUoren znr Beein- 
flussung der sicherheitskritischen Prozesse 28 bis 32 zu akti 
Vieren. Damit sind die sicheren Signaleinheiten 18 bis 24 in 
der Lage, die sicherheitskritischen Prozesse 28 bis 32 in einen 
Sicheren Zustand zu uberfuhren, „ie bsp„. bei einer Bet.tigung 
des Not-Aus-Schalters die Maschinenanlage abzuschalten. 

Hit der Bezugsziffer 70 ist in Pig. l die bereits erwahnte Ver- 
waltungseinheit bezeichnet, die in der Pachternunologie auch 
als ..Managen^nt Device- bezeichnet „ird. Die Verwaltungseinheit 
70 ist ebenfalls Uber einen Buscontroller 40 an den reldb.s 16 
angeschlossen. Sie .ann daher den Ubrigen an den Peldbus 16 
angeschlossenen Einheiten .o»»unizieren . An der steoerung der 
sxcherheitskritischen Prozesse 28 bis 32 ist sie Jedoch nicht 
unmittelbar beteiligt. 
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in ihrem sicheren Verarbeitungsteil besitzt die Verwaltungsein- 
he.t 70 in. wesentlichen zwei zueinander redundante Speicher 
72a, 72b, xn denen unter anderem die gesamte Konf iguration des 
Steuerungssystems 10, insbesondere die Zuordnung der definier 
ten Teilnehmeradressen an die Busteilnehmer 12, 14 bzw is bis 
24 abgelegt ist. Die Verwaltungseinheit 70 besitzt eine zentra 
le Verwaltungs- and Oberwachungsf unlet ion, die unabhangig von 
der Steuerung der Prozesse 28 bis 32 ablauft. Beispielsweise 
xnxtiiert die Verwaltungseinheit 70 in regelxna/3igen Zeitinter- 
vallen eine Verbindungspriifung zwischen den Steuerungseinheiten 
12, 14 und den Signaleinheiten 18 bis 24. Dabei uberpruft die 
verwaltungseinheit 70 durch Versenden eines Verbindungsprufte- 
legrar^ns an die Steuerungseinheiten 12, 14, ob die Verbindung 
zu dxesen Steuerungseinheiten fehlerfrei funktioniert . Als Re 
action auf dieses Pruf telegramm versenden die Steuerungseinhei- 
ten 12, 14 ihrerseits Prtiftelegranune an die ihnen zugeordneten 
Sxgnaleinheiten 18 bis 24. Die Verwaltungseinheit 70 Uberwacht 
dabex den gesamten Datenverkehr und erhalt hierdurch in regel 
ma.igen Zeitintervallen eine Information darUber, ob i:^er noch 
alle xhr bekannten Busteilnehmer aktiv am Feldbus 16 ange- 
schlossen sind. Bei Ausbleiben eines erwarteten PrUf telegrams 
Oder auch beim Ausbleiben eines erwarteten Antworttelegra^^s 
erzeugt die Verwaltungseinheit ein Fehlertelegrar^, aufgrund 
dessen die sicherheitskritischen Prozesse 28 bis 32 in ihren 
sicheren Zustand uberfUhrt werden. 

Alternativ .u de„ hie. d.rgestellten AusMhrungsbeispiel .an„ 
dxe verwaltungseinheit 70 auch in einer der Steuerungseinheiten 
12, 14 integriert sein. In diesem Fall stellt die Verwaitungs- 
exnheit 70 einen Fun.tionsbloc. innerhalb der Steuerungseinheit 
12, 14 dar. In einem weiteren, hier ebenfalls nicht dargestell- 
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ten Aus£ateun9sb.i.piel besltzt das St 
«it der Bezugsziffer 80 ist h.i • 

"ichnet. das zvisc.en z„.l Bus 1"!^'' ^e- 

3ta„da.disi,„e„ P„to.oai en^rc 1 ^--deten, 
exn Kutzdatenfeld 84 aut. Zude„ J„ 

-stexite ^teueru.gsi„.o™atiol ;:V"'"^' 

"^Iten „i„. " de- Bustelegra™, 80 

I" der Darstellung i„ fig i • ^ 

=n,eschlosse„e„ Einheiten exne i„dir/ " "^"^^ 
ne-^radresse ,„ dV 'T 

^.isplelHaft ..2- a„ge„o™^„ "-«.„gse,„,eU u 

hiernach die definierte f "^"^^'""'-^-^eit ,0 

Signaleinheit ,8 beispielhaft die T n^"'""^ "°" ™^ 

--3se „ ^"Y"' ^estgeiegte „„i.e„al- 

-ellt ist. .3 .extent sich da. '"^^ 

die 0„ive„aiad„sse /?e„:T" -"-.^^adresse 
^P-Cer de. ei„e.„e„ ^.^.^J^ZZr""^'' " 

Hichtung des Pfeiis 100. Die einzeT ^^"^^^ 
T ""-"^edenen .i„Heite„ Csl;:: 

"eilen sy^ii3ie„, deren .ZZl ^"'^ "^^^ 

«"3ga„g3pu„,t beim ^bsender .it ei- 
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nem Punkt versehen ist und deren Endpunkt jeweils auf den Emp- 
f anger verweist. 

m dem ersten Zeitabschnitt in Fig. 2 ist die sichere Si- 
gnaleinheit 18 noch nicht an, Feldbus 16 angeschlossen. Sie ist 
daher in diesem Zeitabschnitt nur gestrichelt dargestellt Die 
Verwaltungseinheit 70 versendet in regelmafligen Zeitabstanden 
em Verbindungspriifungstelegranun 102 an die Steuerungseinheit 
12. Diese antwortet daraufhin mit einem Antworttelegranun 104. 
Der Eingang des Antworttelegranuns 104 innerhalb einer vorgege- 
benen Zeitspanne wird von der Verwaltungseinheit 70 uberwacht. 
infolge dessen ist die Verwaltungseinheit 70 in der Lage, die 
tatsachliche Anzahl der aktiv an den Feldbus 16 angeschlossenen 
Exnheiten mit der Sollanzahl gemaiB einer Sollkonf iguration zu 
vergleichen. Nach Ablauf der festgelegten Zeitspanne wiederholt 
sich der Vorgang, d.h. die Verwaltungseinheit 70 versendet er- 
neut das Verbindungspriif ungstelegrainin 102 und empfSngt das Ant- 
worttelegranun 104. 

Nun sei angenonunen, da/3 die Signaleinheit 18 neu an den Feldbus 
16 angeschlossen werden soli. Dementsprechend muJ3 die sig- 
naleinheit 18 konfiguriert werden, wobei ihr eine definierte 
Teilnehmeradresse 90 zugeordnet wird. GemaJ3 dem hier darge- 
stellten AusfUhrungsbeispiel der Erfindung wird die Verwal- 
tungseinheit 70 zunachst in einen besonderen Wartungsmodus ver- 
setzt. Dies geschieht bei dem bevorzugten AusfUhrungsbeispiel 
mit Hilfe eines Schliisselschalters , der an der Verwaltungsein- 
heit 70 angeordnet ist. Die Aktivierung des besonderen War- 
tungsmodus ist in Fig. 2 anhand der Linie 106 symbolisiert . 
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N=c. der ..tivierung des b.so„d.re„ W„tu„,s.odus «i.d der Ve. 
wal.„„,sei„.eit ,0 „a,. eines Ki„,...,„,,,3 .03 d e de L 
nxerte Teilnehmeradresse 90 ubermittelt, die d.. <=■ , 
18 ....c.d„et „e.d.„ son. *„=cHXi.«e„d veLnde. d" f""" 

von de. ve..d.„.,3..e,_ 

modus der Verwaltungseinheit 70 u„ter=cheids^ Di. K 

a.n .p.„, des wa„.,3.e.e,™. ..J:: " r 
le,.a^ U., das die de,i„ierte X.U„eH.e..d.e3se de. I 

u„,se.„.e.t ..3o .ei3pieXHa.. die Teii„e.^„d 3 . 

1 , be.„haltet. Das Amneldetelegra™ 112 ist somit h 
.n.eide.eie,_ . si.e de. ..iie,e„de„ b;.^^ .t^et 

la™ •^^ .»eidete 

gra™ lU de. Steuerungseinheit 12 de™ zuvor erw.hnten Ant 
worttelegra™ 104 identisch. Dies ist iedooh 

.es ve..a.„„s nicHt u„tedi„,t not Jdi, """""""^ 
Der versand des Wartungstelegrainms no bz„. der E„„f. . 

Zsr^eT T"^^- .:Lr:i :: 

d.eser z t .st es n^glic, die sichere Signaleinbeit i3 an den 
Feldbus 16 anzuschliefien. N.chdem dies ,es=hehen ist . 
die Signaleinheit 18 ebensc wie die St. 
«artungstelegramn, 1,0. WShrend die Steueruncs. k 
dieses wartungstelegra™ 110. „ie .uv beTrrrb;;' " 
.weiten ..idetelegra. 112 ant.rtet. Jrtrt ' T T 
9nale.„beit IS als ^twort au. den erst^aligen B.p.ang des Wa^-" 
ngstelegra^s 110 ei„ erstes .„„eldetelegra:™„ J. das 1 
s ge egte Universaladresse bein.altet. Die Verwaltung 

ernheit ,0 e.p«ngt das erste An,„eldetelegra™ 114 und versen- 
det ein Quittungstelegra„ lu an die Signaleinheit IS .n- 
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schliei3end versendet die Verv;altungseinheit 70 ein AdreBverga- 
betelegramm 118, in dessen Nutzdatenf eld die definierte Teil 
nehmeradresse -3" enthalten ist. Die Signaleinheit 18 guittiert 
den Empfang des AdreBvergabetelegramms 118 mit einem Quit- 
tungstelegramm 116. AnschlieBend legt die Signaleinheit 18 die 
definierte Teilnehmeradresse "3" in einem S|^eicher 120 ab. 

Nachdem die Verwaltungseinheit 70 das Quittungstelegranun 116 
von der Signaleinheit 18 empfangen hat, versendet sie erneut 
das Wartungstelegranm, 110. Daraufhin meldet sich die Steue- 
rungseinheit 12, wie ublich, mit dem zweiten Anmeldetelegramm 
112 bei der Verwaltungseinheit 70 an. Daruber hinaus meldet 
sich nun jedoch auch die Signaleinheit 18 mit ihrem zweiten An- 
meldetelegramm 112 bei der Verwaltungseinheit 70 an. In diesem 
Fall enthait das zweite Anmeldetelegramm 112 die Teilnehme- 
radresse "3", die der Signaleinheit 18 zugeordnet wurde. Die 
verwaltungseinheit 70 guittiert den Empfang des zweiten Anmel- 
detelegramms 112 mit einem Quittungstelegramm 116. 

Nach dem Ablauf des beschriebenen TelegrammverJcehrs ist die Si- 
gnaleinheit 18 im Sinne der vorliegenden Erfindung konfigu- 
riert. GemSJ3 dem bevorzugten AusfUhrungsbeispiel der Erfindung 
beendet die Verwaltungseinheit 70 daher automatisch den beson- 
deren Wartungsmodus, was anhand der Linie 122 angedeutet ist 
Sodann findet wiederum der bereits beschriebene, normale Daten- 
verkehr zwischen der Verwaltungseinheit 7 0 und den an den Feld- 
bus 16 angeschlossenen Einheiten 12, 18 statt. Hierbei versen- 
det die verwaltungseinheit 7 0 in zyklischen Zeitabstanden das 
Verbindungsprufungstelegramm 102 und empfangt die Antworttele- 
granime 104. 
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Abweichend von dem hier dargestellten Ablauf beendet die Ver- 
waltungseinheit 70 in einem anderen Ausf uhrungsbeispiel der Er- 
findung den besonderen Wartungsmodus bereits nach dem Abspei- 
chern der zugeordneten Adresse in der Signaleinheit 18. In die- 
sem Fall meldet sich die Signaleinheit 18 mit dem zweiten An- 
meldetelegraxmn 112 erst wieder im normalen Betriebsmodus der 
Verwaltungseinheit 70 bei dieser an. 

Aus Grunden der Ubersichtlichkeit wurde der Versand des Quit- 
tungstelegramms 116 hier nur in Bezug auf die zu konf igurieren- 
de Signaleinheit 18 erwahnt. Abweichend hiervon wird bei dem 
bevorzugten Ausf uhrungsbeispiel des Steuerungssystems 10 jedoch ■ 
jedes versendete Telegranun mit einem Quittungstelegramm 116 be- 
antwortet. Das Ausbleiben des Quittungstelegramms 116 fUhrt au- 
tomatisch zur Erzeugung einer Fehlermeldung. 

Fig. 3 zeigt den Ablauf des erf indungsgemSBen Verfahrens bei 
einem Austausch der Signaleinheit 18. Auch hierbei befindet 
sich die verwaltungseinheit 70 zunachst in ihrem normalen Be- 
triebsmodus, in dem sie in zyklischen Zeitabstanden Verbxn- 
dungsprufungstelegramme 102 an samtliche an den Feldbus 16 an- 
geschlossenen Einheiten versendet. Die angeschlossenen Einhei- 
ten, in diesem Fall die Steuerungseinheit 12 und die Signalein- ' 
heit 18, antworten mit entsprechenden Antworttelegrammen 104. 
Aufgrund dieser Antworttelegramme ist die Verwaltungseinheit 70 
iiber die Anzahl der aktiv an den Feldbus 16 angeschlossenen 
Einheiten 12, 18 informiert. 

Zum Austausch der Signaleinheit 18 wird zunachst die Verwal- 
tungseinheit 70 in den besonderen Wartungsmodus versetzt. Dies 
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ist anhand der Linie 106 dargestellt. Zuvor wurde die auszutau- 
schende Signaleinheit 18 vom Feldbus 16 abgetrennt. 

In dem besonderen Wartungsmodus versendet die Verwaltungsein- 
heit 70, wie erlautert, ein definiertes Wartungstelegranun lio, 
das jedoch die Signaleinheit 18 nicht mehr erreicht. Dies ist 
in Fig. 3 anhand des gestrichelten Pfeils 123 dargestellt. Die 
Steuerungseinheit 12 antwortet wie ublich mit dem zweiten An- 
meldetelegrainm 112 auf den Empfang des Wartungstelegranuns 110. 
Das zweite Anmeldetelegraimn der Signaleinheit 18 bleibt hinge- 
gen aus, was durch den gestrichelten Pfeil 124 dargestellt ist. 
Die Verwaltungseinheit 70 kann daher erkennen, daB die Si- 
gnaleinheit 18 nicht mehr aktiv an den Feldbus 16 angeschlossen 
ist. Sie speichert daher die definierte Teilnehmeradresse '•3", 
die der Signaleinheit 18 zugeordnet war, in einem Speicher 126.' 
Anschlieflend versendet sie das Wartungstelegranun 110 erneut in 
zyklischen Zeitabstanden. Die Steuerungseinheit 12 antwortet 
hierauf, wie erlautert, mit dem zweiten Anmeldetelegramm 112. 

Nun kann die Signaleinheit 18 Oder ein entsprechendes Aus- 
tauschgerat an den Feldbus 16 angeschlossen werden. 

Sobald die neu angeschlossene Signaleinheit 18 das Wartungste- 
legramm 110 empfangt, versendet sie das erste Anmeldetelegramm 
114, in dem die festgelegte Universaladresse "xy" enthalten 
ist. Die neue Signaleinheit 18 meldet sich hierdurch bei der 
verwaltungseinheit 70 unter der festgelegten Universaladresse 
"xy" an. Die Verwaltungseinheit 70 quittiert den Empfang des 
ersten Anmeldetelegramms 114, wie bereits erlautert, mit einem 
Quittungstelegramm 116 und versendet anschlieflend das Adreflver- 
gabetelegramm 118. Dieses enthalt nun die definierte Teil- 
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.. nehmeradresse "3", die die Verwaltungseinheit 70 zuvor in den 
.Speicher 126 abgelegt hat. Die Signaleinheit 18 guittiert den 
Empfang des Adreiivergabetelegrainins 118 mit einem Quittungstele- 
granun 116 und speichert die zugeordnete Teilnehmeradresse "3" 
in ihrem Speicher 120 ab. AnschlieBend versendet die Verwal- 
tungseinheit 70 erneut das Wartungstelegraimn HO und empfangt 
sowohl von der Steuerungseinheit 12 als au9h von der Signalein- 
heit 18 das zweite Anmeldetelegramin 112. Sie guittiert den Emp- 
fang dieser Anmeldungstelegramme mit dem Quittungstelegramm 116 
und beendet den besonderen Wartungsmodus , was wiederum anhand 
der Linie 122 dargestellt ist. 

Mit diesem beschriebenen Verfahren ist es somit moglich, einen 
an den Feldbus 16 angeschlossenen Busteilnehmer auszutauschen, 
ohne daJ3 man dessen definierte Teilnehmeradresse kennen muB. 

in dem nachsten Zeitabschnitt in Fig. 3 ist der Verfahrensab- 
lauf dargestellt, der sich ergibt, wenn sich mehrere Bus- 
teilnehmer unter der festgelegten Universaladresse "xy" bei der 
verwaltungseinheit 70 anmelden. Wie zuvor beschrieben, wurde 
die Verwaltungseinheit 70 zunachst in den besonderen Wartungs- 
modus versetzt. Sie versendet daraufhin das Wart ungstelegr amm 
110. Wenn nun sowohl die Steuerungseinheit 12 als auch die Si- 
gnaleinheit 18 mit dem ersten Anmeldetelegramm 114 antworten, 
aktiviert die Verwaltungseinheit 70 eine Fehleranzeige 128 und 
bricht den besonderen Wartungsmodus ab. 

In dem nachsten Zeitabschnitt ist eine weitere Fehlerquelle 
dargestellt. Hierbei ist angenommen, daJ3 der Verwaltungseinheit 
70 nach dem Aktivieren des besonderen Wartungsmodus iiber das 
Eingabegerat 108 eine Teilnehmeradresse iibermittelt wird, die 
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bereits einem an den Feldbus 16 angeschlossenen Busteilnehn.er 
zugeordnet ist. Die Verwaltungseinheit 70 erJcennt aufgrund der 
xhr bekannten Sollkonf iguration der aktiven Busteilnehmer die 
doppelte AdreiJvergabe und aktiviert die Fehleranzeige 128 Au 
Berdem beendet sie wiederum den besonderen Wartungsmodus . 

Gema/3 einer weiteren bevorzugten AusfUhrungsform der Erfindung 
korreliert die definierte Teilnehmeradresse 90 hier zusatzlich 
mxt einer der jeweiligen Signaleinheit 18 - 24 zugeordneten 
funktionalen Prozei3adre3se in einem Prozei3abbild der SPS- 
Steuerungseinheiten 12 bzw. 14, wobei die Anwendungsprogran^ne 
44a, 44b in einer bei SPS-Steuerungen an sich bekannten Weise 
auf diese ProzeiBabbilder zugreifen. Die funktionale Prozefi- 
adresse identif iziert eindeutig die Funktion eines an die Si- 
gnaleinheiten 18 - 24 angeschlossenen Sensors bzw. Aktuators, 
bspw. einer Lichtschranke. Die definierte Teilnehmeradresse 90 
erhalt hierdurch eine Doppelfunktion, da sie einerseits die Si- 
gnaleinheiten 18 - 24 fur die Kormnunikation auf dem Feldbus 16 
xdentifizierbar macht und andererseits den Anwendungsprogran^en 
44a, 44b eine stets gleichbleibende Zugrif f smoglichkeit auf die 
ProzeiJdaten bereitstellt . 
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Patentansprunh^ 

Verfahren zum Konf igurieren eines sicheren Busteilnehmers 
(12, 14, 18 - 24) beim AnschlieBen an einen Feldbus (16) 
in einem sicheren Steuerungssystem (10), wobei dem siche- 
ren Busteilnehmer (12, 14, 18 - 24) eine definierte Teil- 
nehmeradresse (90) zugeordnet wird, gekennzeichnet durch 
die Schritte: 



Versenden eines ersten Anmeldetelegramms (114) von 
dem sicheren Busteilnehmer (12, 14, is - 24) zu ei- 
ner an den Feldbus (16) angeschlossenen Verwaltungs- 
einheit (70), wobei das erste Anmeldetelegramm (114) 
eine festgelegte Universaladresse (92) beinhaltet, 

Versenden eines AdreBvergabetelegramms (118) von der 
Verwaltungseinheit (70) an den sicheren Busteilneh- 
mer (12, 14, 18 - 24), wobei das Adrefivergabetele- 
gramm (118) die definierte Teilnehmeradresse (90) 
beinhaltet und 



Abspeichern der definierten Teilnehmeradresse (90) 
in einem Speicher (58; 120) des sicheren Busteilneh- 
mers . 



Verfahren nach Anspruch 1, dadurch gekennzeichnet , da/3 der 
sichere Busteilnehmer (12, 14, 18 - 24) nach Empfang des 
Adreflvergabetelegramms (118) ein zweites Anmeldetelegramm 
(112) an die Verwaltungseinheit (70) versendet, wobei das 
zweite Anmeldetelegramm (112) die definierte Teilnehme- 
radresse (90) beinhaltet. 
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3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, 
dafl der sichere Busteilnehmer (12, 14, 18 - 24) das erste 
Anmeldetelegramm (114) nach dem Empfang eines definierten 
Wartungstelegrairans (110) an die Verwaltungseinheit (70) 
versendet . 



4. 



Verfahren nach Anspruch 3, dadurch gekennzeichnet, dal3 der 
sichere Busteilnehmer (12, 14, 18 - 24) das erste Anmelde- 
telegramm (114) nur nach dem erstmaligen Empfang des defi- 
nierten Wartungstelegramms (llO) an die Verwaltungseinheit 
(70) versendet, wahrend er bei einem wiederholten Empfang 
des definierten Wartungstelegramms (HQ) das zweite Anmel- 
detelegramm (112) an die Verwaltungseinheit (70) versen- 



det. 



5. Verfahren nach Anspruch 3 oder 4, dadurch gekennzeichnet, 
das definierte Wartungstelegramm (110) nur nach Aktivieren 
(106) eines besonderen Wartungsmodus (106) der Verwal- 
tungseinheit (70) versendet wird. 

6. Verfahren nach Anspruch 5, dadurch gekennzeichnet, daJ3 die 
Verwaltungseinheit (70) den besonderen Wartungsmodus nach 
Empfang des zweiten Anmeldetelegramms (112) automat isch 
beendet (122). 



7. 



Verfahren nach Anspruch 5 oder 6, dadurch gekennzeichnet, 
daJ3 der Verwaltungseinheit (70) zu Beginn des besonderen 
Wartungsmodus die definierte Teilnehmeradresse (90) uber- 
mittelt wird (108). 
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Verfahren „a=h Anspruch 7, d.durch getenn.eichnet, dai, die 
ver>,al.„„,3ei„heit ,70, ei„ .ehlersi,„.l ,U8, erzeu,t 
wenn d.e Uber^tteXte Teilneh^radresse ,9o, bereits a 

(12, 14, 18 - 24) vergeben ist. 

verfahren nach Anspruch 3, dadurch ge.enn.eichnet , da. die 
Verwaltungseinheit (70, Wartungstelegra^e (UO) in defi- 
nxerten ZeitabstMnden an alle an den Feldbus (16) ange- 
schlossenen Busteilnehxner (12, 14, I8 - 24) versendet. 

Verfahren nach einem der Anspruche 1 bis 9 n^v 

fcr-r.^^ ^ u I Dis 9, gekennzeichnet 

ferner durch die Schritte: 

Uberprufen der Anwesenheit aller aktiv ^ 

oiier aKtiv an den Feld- 

bus (16) angeschlossenen Busteilnehmer (12 14 is 
24, anhand einer Sollkonfiguration von Bustellneh- 
-rn (12, 14, 18 - 24, sowie a„ha„d von Antwortt.le- 
9ranu,«„ ,104, der BusteHnehmer (12, 14, is . 24, 



- versenden der Teilnehn^radresse ,90, eines als nicht 
n«hr aktiv erkannten Busteilnehiners ,12, 14, ij - 
24, als definierte Teilnehmeradresse (90,. 

verfahren nach ei„e» der AnsprUche 1 bis 10. dadurch ge- 
kennzeichnet, daB die verwaltungseinheit ,70, ein Fehler- 
-gnal ,12s, erzeugt, „enn .ehr als ein Busteilneh„«r (12, 
14, - 24, das erste Ann^ldetelegram (114, versendet 
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12. Verfahren nach einem der Anspruche 1 bis 11, dadurch ge- 
kennzeichnet, da/3 zuroindest das erste Anmeldetelegramm 
(114) sowie das AdreBvergabetelegramm (118) mit jeweils 
einem Quittungstelegramm (U6) beantwortet werden. 

13. Steuerungssystem zum sicheren Steuern von sicherheitskri- 
tischen Prozessen (28 - 32), mit zumindest einem sicheren 
Busteilnehmer (12, 14, 18 - 24), der an einen Feldbus (16) 
angeschlossen ist, wobei der sichere Busteilnehmer (12, 
14, 18 - 24) erste Mittel (40) zum Aufnehmen und Auswerten 
eines Bustelegramms (80) sowie einen Speicher (58; 120) 
zum Speichern einer dem Busteilnehmer (12, 14, is'- 24) 
zugeordneten Teilnehmeradresse (90) aufweist, dadurch ge- 
kennzeichnet, daB der Busteilnehmer (12, u, ig . 24) 
zweite Mittel (40, 120; 40, 58) aufweist, urn' sich unter 
exner festgelegten Universaladresse (92) bei einer an den 
Feldbus (16) angeschlossenen Verwaltungseinheit (70) anzu- 
melden, sowie dritte Mittel (42, 54), um ein AdreBvergabe- 
telegramm (118) mit der Teilnehmeradresse (90) aufzunehmen 
und auszuwerten. 
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